Адрес для входа в РФ: exler.world

Новый вид защиты от ботов

22.06.2022 12:04  15212   Комментарии (70)

Сейчас для защиты от ботов используются всякие CAPTCHA - там требуется ввести изображённый на экране специально искажённый текст, решить простейшее арифметическое действие, выбрать из набора картинок те, которые отвечают определённому требованию (например, все картинки, на которых изображены лодки или автомобили).

Часто эти капчи бывают страшно бесящими - сложными, громоздкими, и далеко не всегда их можно правильно ввести с первого раза. Я помню, одно время в "Яндексе" использовали совершенно дикий вариант капчи, которую правильно ввести удавалось раза с десятого. Я им писал по этому поводу и, как ни странно, они её заменили на более пристойную (уж и не знаю, моё ли письмо подействовало или что-то ещё).

Но вообще капчи - это, конечно, прошлый век. Гугл разработал "невидимую" капчу - код, который анализирует поведение пользователя и делает вывод о том, человек это или бот (там, насколько я понимаю, анализируется активность, движение мыши и прочие параметры). Мы такую невидимую капчу даже пытались внедрить на Exler.ru для регистраций новых пользователей, но оказалось, что эта штука пока нормально не работает, так что пришлось вернуться к обычной капче.

А тут попалась статья о новом протоколе, позволяющем безо всякой капчи отличать людей от роботов - "Капчи — всё? Новый стандарт защиты от ботов не требует действий человека".

Apple внедряет новый протокол Privacy Pass, который создан совместно с Google, Cloudflare и другими интернет-компаниями. Протокол использует токены (Privacy Access Token, PAT), помогающие отличать реальных людей от ботов.

Скажем, посетитель открывает браузер Safari на iPhone и посещает некий сайт. Сайт запрашивает у браузера токен. Тот вызывает интерфейс Apple Attester, который проверяет различные детали: разблокировался ли недавно смартфон, были ли какие-либо подозрительные действия, надёжно ли защищён профиль Apple ID. Если всё в порядке, Attester отдаёт команду эмитенту (посреднику, выпускающему токен). Эмитент отдаёт токен браузеру, а тот подтверждает сайту, что капчу показывать не нужно.

Этот метод позволяет делегировать процесс проверки гаджету, а не стороннему провайдеру, как было раньше. При этом калифорнийский техногигант не узнает, какие страницы или программы посещал пользователь, — эта информация будет только у эмитента. В его роли выступают независимые интернет-компании Cloudflare и Fastly. Ни эмитент, ни сайт не получают доступ к данным об устройстве.

Где и когда это появится?

Для полноценного запуска Privacy Pass необходима поддержка со стороны сайтов и производителей гаджетов. Веб-ресурсы, которые распространяются через сети Cloudflare и Fastly, уже могут использовать перспективный протокол.

О поддержке фишки заявила Apple: функция под названием Automatic Verification появится в iOS 16 и macOS Ventura. Вероятно, ОС Android тоже получит такую возможность — не зря же Google приложила руку к созданию протокола

Комментарии 70

- Что делает нас людьми?
- Умение определять на какой картинке изображён троллейбус!
23.06.22 10:29
0 1

Вообще хорошо прозвучало - «капчи прошлый век, гугль придумал крутизну, но эта крутизна нормально не работает, поэтому продолжаем пользоваться капчами» 😄
22.06.22 20:30
0 6

22.06.22 20:29
0 7

Ой, на всякую хитрую ж найдется свой х с левой резьбой.

Помню, как в 90х для симулирования активности приделывали палочки к трею CD/DVD, а на другом конце - мыша. И программа, которая периодически выдвигает и задвигает трей. А уж сейчас, со всеми этим ардуинами и пр...
22.06.22 17:37
0 0

Сделал же гугль недавно искусственный разум, от которого его (разума) разработчик поехал кукухой! Очень впечатляющий товарищ. Я думаю, рано или поздно капчевание, антивирусинг, антиДДоСинг, анти- и просто хакинг лягут на его искусственные плечи.
Все эти технологии - токены ваши шмокены - схожи в одном: они стараются найти новый формальный путь к цели, то бишь алгоритм. А человек способен действовать без алгоритма. Технологии более или менее успешно формализуют неформализуемое. Делают более или менее удобные костыли. Значит, они, технологии, никогда не сравнятся с человеком. А вот искусственный интеллект сумеет.
Тут-то нам и кабздец...
22.06.22 17:37
0 0

Постепенно и незаметно общество вводят в реальность "Черного зеркала".
Варят лягушку медленно.
Кстати, тот же Китай использует похожий инструмент для ограничений прав людей в интернет, и, наверное, будет очень рад этому новому токену.
Еще будут рады акционеры компании-владельца этого токена, столько данных можно продать.
22.06.22 14:51
8 1

"Смешно" вам будет лет через 5-10.
Как с Крымом в 2014 году, многие шутили.

Этот токен сам по себе ничего не значит.
Важна тенденция и вектор куда движутся "корпорации добра".
22.06.22 17:16
1 0

Мало того, что один на всех, так еще и название такое страшное придумали “токен”, бусурманское какое-то. Капиталисты проклятые, тьфу на них!
22.06.22 15:42
0 0

В недавнем мультфильме "Плохие парни" эту тему затронули. 😄
22.06.22 13:45
0 0

Я тут неделю боролся с требованием iCloud привязаться к телефонному номеру и таки победил. Окошечко подвинул за край экрана, теперь не отсвечивает. Что ни обновление у МакОС то новые глюки. Уже думаю установить нормальный линукс вместо всего вот этого.
22.06.22 13:41
0 1

То есть телефон будет сливать информацию о пользовании им в каком-то довольно широком смысле еще одной третьей компании? То что инфа сливается гуглу/эпплу это наверное неизбежное зло, но это как-то не сильно повод говорить "сгорел сарай - гори и хата" и расширять список на Cloudflare и Fastly (и бог знает кого еще впоследствии).
22.06.22 13:36
1 8

тоже подумал
22.06.22 13:37
0 0

Я вот не понял, что мешает подделать агент, который говорит эмитенту, мол, всё путём, выдавай токен?
22.06.22 13:36
0 1

Как это будет работать у добропорядочных граждан - вполне понятно. А вот как они собираются защищаться от хакеров.? Что может помешать им подделать агент? Даже яблоко можно джейлбрейкнуть и запускать на нем неавторизованную шнягу (подправленного агента), а чего уж говорить про PC.
29.06.22 14:24
0 0

Скорее всего, агент/интерфейс будет интегоирован в операционную систему(в iOS например).
22.06.22 14:43
0 0

22.06.22 12:46
0 3

лучший!
22.06.22 14:09
0 1

Я им писал по этому поводу и, как ни странно, они её заменили на более пристойную
Если действует - надо пользоваться. Алекс, напиши в Кремль! 😄
22.06.22 12:42
0 7

Если действует - надо пользоваться. Алекс, напиши в Кремль! 😄
"Получается, я же мог Ленина так спасти!" ©
22.06.22 13:10
0 7

То есть вместо помочь Гуглю различать лодки/самолеты на фотографиях, с юзера в полностью автоматическом режиме и без его ведома/согласия потянут некую персональную информацию? Ню-ню, ура Эпплу!..
22.06.22 12:39
5 2

Чувак, у тебя смартфон вообще есть или только кнопочная звонилка? iOS немного не так как андроид работает
Я про конкретно iOS спрашивал, а не про смартфонные ОС вообще 😄

Спасибо!

Объясните бабушке!
"Мимо тёщина окошка
Я без шуток не хожу..."
23.06.22 00:05
0 2

Чувак, у тебя смартфон вообще есть или только кнопочная звонилка? iOS немного не так как андроид работает. Для изменения пермишинов приложений в iOS нужно открыть общие сеттинги, найти нужное приложение, список приложений (сюрприз) ниже по списку там же, открыть свойства приложения и изменить там пермишины. В андроиде достаточно тапнуть и придержать иконку приложения, открыть информацию о приложении, пермишины там. В самих приложениях уже 100500 лет так ничего особого нет во внутренних настройках. Тем более, что пермишин - системный инстанс, а не локальный. Это система разрешает либо запрещает приложению, а не оно само в проходной двор играет.

Всё-то у вас неправильно. Вот так надо: deckpic сверху, dickpic снизу.
22.06.22 20:30
0 0

Этаа, deckpic, я там еще trimmed bushes, чтоб выглядело побольше
22.06.22 20:15
0 0

Нет! На это я пойти не могу!
22.06.22 19:36
0 0

А мне там искать неловко. Вам-то что, уже поискали, уже репутации каюк и IP в чёрном списке. Почему бы и не объяснить? Тем более бабушке, про неё же речь.
22.06.22 19:23
0 0

Это именно в СИСТЕМЕ, или в самом Safari настройка?

Специально взял со стола айфон и посмотрел, через сеттинги есть возможность установить три варианта на доступ к камере: разрешить, запретить, спрашивать.
Хотя, если честно, мне сложно представить регулярный юзкейс, который требует камеры для броузера. Можно установить "спрашивать", а если начнет эноить - запретить.
Дефолтно, кстати, так и установлено.

Вас в гугле забанили, штоле? А меня, вот, разбанили. Погуглите "дикпик", а то мне тут объяснять неловко.
22.06.22 18:08
0 0

дикпики
Объясните бабушке!
22.06.22 17:26
0 0

а зачем давать броузеру безусловный доступ к камере?
А в iOS у юзера есть опция НЕ давать встроенному Safari доступ к камере?

(Спрашиваю без подколов, ради узнать -- яблочными устройствами не владею, потому мои знания на уровне "читал, что...".)

а зачем давать броузеру безусловный доступ к камере?
22.06.22 17:04
0 0

Особенно это:
были ли какие-либо подозрительные действия
Теперь я буду опасаться посылать дикпики своим собеседницам. Это произвол!

Кем генерируется? На каком основании генерируется? Просто так по факту запроса - или таки после анализа чего-то? Вы этот абзац внимательно прочитали?
Я очень внимательно прочитал техническую статью от Fastly и посмотрел трансляцию от самой Apple. Так что если понимаете английский - почитайте/посмотрите сами.

Что не так?
Им, Мешкам
Закон не писан
Если писан, то не читан
Если читан, то не понят (<- он приблизительно здесь)
Если понят, то не так
22.06.22 13:45
1 2

Вы этот абзац внимательно прочитали?
А вы этот абзац внимательно прочитали?

Генерирует рандомный токен браузер, запрашивает рандомный токен сайт, разрешение дает эппловская система, которая стоит на телефоне, на основании инфо о телефоне и действиях с ним. По идее эта инфа и так в доступности эппла. Что не так?

Ну да, доступ к кукам другого сайта запрещён. А если так сильно хочется их и вовсе можно отключить - невелика потеря.

Другое дело что есть браузеры на свободном исходном коде, типа Хромиум. А есть глубоко заделанные в закрытую систему, типа Сафари. Я не сомневаюсь что при желании Сафари может и фоточки с камеры сбрасывать, никто же проконтролирует.

который генерируется по запросу сайта
Кем генерируется? На каком основании генерируется? Просто так по факту запроса - или таки после анализа чего-то?
Вы этот абзац внимательно прочитали?
Сайт запрашивает у браузера токен. Тот вызывает интерфейс Apple Attester, который проверяет различные детали: разблокировался ли недавно смартфон, были ли какие-либо подозрительные действия, надёжно ли защищён профиль Apple ID. Если всё в порядке, Attester отдаёт команду эмитенту (посреднику, выпускающему токен). Эмитент отдаёт токен браузеру, а тот подтверждает сайту, что капчу показывать не нужно.

Куки (поправьте, если Мешок ошибается) тянет конкретный сайт в пределах действий пользователя на этом конкретном сайте. А тут хз что (различные детали © ага!) хз кому на сторону...
Сколько раз в день нормальный пользователь интернета, не ольгинский бот, где-то регается и борется с капчей, чтобы получить кайф от экономии времени/усилий ценой отдачи ещё одного кусочка своего цифрового портрета?

То есть вместо помочь Гуглю различать лодки/самолеты на фотографиях, с юзера в полностью автоматическом режиме и без его ведома/согласия потянут некую персональную информацию? Ню-ню, ура Эпплу!..
Никакая персональная информация не передаётся. Передаётся только рандомизированный токен, который генерируется по запросу сайта.

Тянут? Или таки выдают?
22.06.22 12:48
0 1

А ничего что с юзера и так постоянно тянут некую персональную информацию в виде куков. Не хочешь отдавать персональную информацию - запрети куки, делов-то.

Честно говоря подзадолбала эта борьба с ботами, да и в целом свистоперделки в виде трекеров, лайков шмайков и рекламы. У меня на работе файервол режет некоторые сервисы гугл и фейсбук и некоторые сайты либо грузятся медленно, либо ошибки выдают. Когда с дому работаю просто праздник какой-то, всё летает. На том же ноутбуке.

Особенно достаёт эта разрешалка Cookie которая лезет со всех страниц. Если на весь экран то я тупо закрываю страничку, некогда мне им разрешения выдавать. Иногда получается спрятать установив стиль попапа на невидимый. Но блин столько гемора.
22.06.22 12:30
1 4

Ну, это уже придирки. Куки-разрешалка на каждом ресурсе выплывает только в первый раз, и достаточно одного клика для разрешения — это насчёт "некогда мне им разрешения выдавать".

И, как верно заметили, это обязаловка со стороны закона, владельцы сайтов не виноваты. И здесь, у Алекса, как на новом девайсе заходишь, тоже вылезает в первый раз, и чо? Но нет, "Ах, гемор!"
22.06.22 14:12
0 7

Ну так не просто так они ж это делают. Есть закон, что надо получить согласие перед сбором данных.
Вот и пытаются влдадельцы сайтов сделать процесс максиимально болезненным, чтобы посетители соглашались не читая, на что подписываются.
22.06.22 13:36
1 1

Чота мне кажется больно большой лок на вендора. И опять же на вполне конкретных провайдеров, того же клаудфлара. Ну и если железка выдает токен, то что собственно мешает сделать железку, которая только и делает, что выдает токен? Ну а если туда заложен валидированный сертификат от епла на выдачу токена, то см. п. 1.
22.06.22 12:30
0 6

йеп, 100% пример 😄
23.06.22 14:40
0 0

"Штурман был у нас - серьезный такой человек, не дай бог. И вот собрался он на берег. Прыгнул в шлюпку и кричит мне:
- Эй, малый, трави кошку, да живо!
Я услышал и ушам не верю: у нас на судне кот был сибирский. Пушистый, мордастый, и хвост, как у лисы. Такой ласковый да умный, только что не говорит. И вдруг его травить! За что? Да и чем травить, опять же?"
22.06.22 16:42
0 7

ерунда, это все бытовуха. вот техницизмы, типа как у топикстартера, их обычному человеку что сейчас, что потом, будет сложно объяснить. 😄
22.06.22 16:20
0 0

чуток сложнее, но не страшно 😄
22.06.22 16:15
0 0

а как же "флипнуть до космопорта"? 😄
САДОВСКИЙ: Флипнула? Ничего подобного! Никогда не флипаю до космопорта. Беру флаер - надежнее и проще.
22.06.22 15:23
0 0

вроде не бином
22.06.22 15:06
0 0

Пусть бабушка объяснит внукам, к примеру, что такое "переждать не сможешь ты трех человек у автомата" или "отглянцевать фотокарточку".
22.06.22 15:05
0 10

А вот объясните бабушке, что такое "майнить биткоины" или "запостить в инсту ради лайков".
да примерно так же как объяснить бабашке "флипнуть до космопорта" - "показать фотку людям в интернете, чтобы понравиться". вроде не бином 😄
22.06.22 14:08
0 1

Ну хоть не я один приуныл от собственной отсталости.
Аналогично, шеф!
22.06.22 14:07
0 1

большой лок на вендора.
Смотря как организовать процесс. По идее, права нужны только владельцам платформ и разработчикам независимых браузеров.
Если процесс принятия решений будет коллегиальным, монополии владельцев платформ можно избежать.
22.06.22 13:38
0 0

а как же "флипнуть до космопорта"?
Это переводимо. А вот объясните бабушке, что такое "майнить биткоины" или "запостить в инсту ради лайков".

Сепульки для сепуления в сепулькарии - такая штука, что не переводчик нужен, а разъяснительная бригада.
22.06.22 13:23
0 9

а как же "флипнуть до космопорта"? 😄
22.06.22 13:21
0 1

«Папа, а с кем ты сейчас разговаривал?»
Ну хоть не я один приуныл от собственной отсталости.

Всегда считал, что Алиса Селезнёва, которая разговаривает с советскими школьниками понятными для них словами - это самый фантастический элемент в той истории.
22.06.22 13:07
0 11

Чота мне кажется больно большой лок на вендора. И опять же на вполне конкретных провайдеров, того же клаудфлара.
«Папа, а с кем ты сейчас разговаривал?»
22.06.22 12:43
3 13

Выберите все квадратики с крейсером.
22.06.22 12:24
3 40

И для программистов
22.06.22 15:48
0 13

Для проверки причините вред человеку! (с)
22.06.22 12:23
0 17

Мне как то нужен был ящик на яндексе, я так и не прошел капчу.
22.06.22 12:19
0 3

~ bot_kick
22.06.22 15:20
1 0

22.06.22 13:08
0 6

Алекс, у тебя тут бот CKA/IO/IA3 пишет.
22.06.22 13:01
0 4

Алекс, у тебя тут бот CKA/IO/IA3 пишет. Прошу принять меры! ))
22.06.22 12:20
0 6
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3992
вино 359
еда 499
ЕС 60
игры 114
ИИ 29
кино 1580
попы 190
СМИ 2757
софт 930
США 131
шоу 6